Azure Server Management Services op schaal configureren

  • Artikel

U moet deze twee taken uitvoeren om Azure-serverbeheerservices te onboarden op uw servers:

  • Implementeer serviceagents op uw servers.
  • Schakel de beheeroplossingen in.

In dit artikel worden de drie processen behandeld die nodig zijn om deze taken uit te voeren:

  1. Implementeer de vereiste agents op Azure-VM's met behulp van Azure Policy.
  2. Implementeer de vereiste agents op on-premises servers.
  3. De oplossingen inschakelen en configureren.

Notitie

Maak de vereiste Log Analytics-werkruimte en het Azure Automation-account voordat u virtuele machines onboardt naar Azure-serverbeheerservices.

Azure Policy gebruiken om extensies te implementeren op Azure-VM's

Voor alle beheeroplossingen die worden besproken in Azure-beheerhulpprogramma's en -services , moet de Log Analytics-agent worden geïnstalleerd op virtuele machines in Azure en op on-premises servers. U kunt uw Azure-VM's op schaal onboarden met behulp van Azure Policy. Wijs beleid toe om ervoor te zorgen dat de agent is geïnstalleerd op uw Azure-VM's en is verbonden met de juiste Log Analytics-werkruimte.

Azure Policy heeft een ingebouwd beleidsinitiatief dat de Log Analytics-agent en de Microsoft Dependency Agent bevat, die vereist is voor Azure Monitor voor VM's.

Notitie

Zie Overzicht van de Azure-bewakingsagents voor meer informatie over verschillende agents voor het bewaken van Azure.

Beleid toewijzen

De beleidsregels toewijzen die in de vorige sectie worden beschreven:

  1. Ga in Azure Portal naar het initiatief Beleidstoewijzingen>>toewijzen.

    Screenshot of the portal's policy interface with the Assignments option and Assign initiative option called out.

  2. Stel op de pagina Beleid toewijzen het bereik in door het beletselteken (...) te selecteren en vervolgens een beheergroep of abonnement te selecteren. U kunt ook een resourcegroep selecteren. Kies vervolgens Selecteren onder aan de pagina Bereik . Het bereik bepaalt aan welke resources of groep resources het beleid is toegewezen.

  3. Selecteer het beletselteken (...) naast beleidsdefinitie om de lijst met beschikbare definities te openen. Als u de initiatiefdefinities wilt filteren, voert u Azure Monitor in het zoekvak in:

    Screenshot of the Enable Azure Monitor for V M initiative definition.

  4. De toewijzingsnaam wordt automatisch ingevuld met de beleidsnaam die u hebt geselecteerd, maar u kunt deze wijzigen. U kunt ook een optionele beschrijving toevoegen voor meer informatie over deze beleidstoewijzing. Het veld Toegewezen door wordt automatisch ingevuld op basis van wie is aangemeld. Dit veld is optioneel en ondersteunt aangepaste waarden.

  5. Voor dit beleid selecteert u de Log Analytics-werkruimte voor de Log Analytics-agent die u wilt koppelen.

    Screenshot of the Log Analytics workspace option.

  6. Schakel het selectievakje voor de locatie van de beheerde identiteit in. Als dit beleid van het type DeployIfNotExistsis, moet een beheerde identiteit het beleid implementeren. In de portal wordt het account gemaakt zoals aangegeven door de selectievakjeselectie.

  7. Selecteer Toewijzen.

Nadat u de wizard hebt voltooid, wordt de beleidstoewijzing geïmplementeerd in de omgeving. Het kan tot 30 minuten duren voordat het beleid van kracht wordt. Als u deze wilt testen, maakt u na 30 minuten nieuwe VM's en controleert u of de Log Analytics-agent standaard is ingeschakeld op de virtuele machine.

Agents installeren op on-premises servers

Notitie

Maak de vereiste Log Analytics-werkruimte en het Azure Automation-account voordat u Azure-serverbeheerservices onboardt op servers.

Voor on-premises servers moet u de Log Analytics-agent en de Microsoft Dependency Agent handmatig downloaden en installeren en configureren om verbinding te maken met de juiste werkruimte. U moet de werkruimte-id en sleutelgegevens opgeven. Als u deze informatie wilt ophalen, gaat u naar uw Log Analytics-werkruimte in Azure Portal en selecteert u vervolgens Instellingen> Aangesloten instellingen.

Screenshot of Log Analytics workspace advanced settings in the Azure portal

Oplossingen inschakelen en configureren

Als u oplossingen wilt inschakelen, moet u de Log Analytics-werkruimte configureren. Onboarded Azure-VM's en on-premises servers krijgen de oplossingen van de Log Analytics-werkruimten waarmee ze zijn verbonden.

Updatebeheer

De oplossing Updatebeheer en de Wijzigingen bijhouden en inventaris-oplossing vereisen zowel een Log Analytics-werkruimte als een Azure Automation-account. Om ervoor te zorgen dat deze resources correct zijn geconfigureerd, raden we u aan om onboarding uit te voeren via uw Automation-account. Zie De oplossing Updatebeheer en de Wijzigingen bijhouden en inventaris-oplossing onboarden voor meer informatie.

U wordt aangeraden de oplossing Updatebeheer voor alle servers in te schakelen. Updatebeheer is gratis voor Azure-VM's en on-premises servers. Als u Updatebeheer inschakelt via uw Automation-account, wordt er een bereikconfiguratie gemaakt in de werkruimte. Werk het bereik handmatig bij met machines die worden gedekt door de oplossing Updatebeheer.

Als u uw bestaande servers en toekomstige servers wilt dekken, moet u de bereikconfiguratie verwijderen. Hiervoor bekijkt u uw Automation-account in Azure Portal. Selecteer Updatebeheer beheren>machine>inschakelen op alle beschikbare en toekomstige machines. Met deze instelling kunnen alle Virtuele Azure-machines die zijn verbonden met de werkruimte gebruikmaken van Updatebeheer.

Screenshot of Update Management in the Azure portal

Wijzigingen bijhouden en inventaris oplossingen

Als u de Wijzigingen bijhouden en inventaris-oplossingen wilt onboarden, volgt u dezelfde stappen als voor Updatebeheer. Zie De oplossing Updatebeheer en de Wijzigingen bijhouden en inventaris-oplossing onboarden voor meer informatie over het onboarden van deze oplossingen vanuit uw Automation-account.

De Wijzigingen bijhouden en inventaris-oplossing is gratis voor Azure-VM's en kost $ 6 per knooppunt per maand voor on-premises servers. Deze kosten hebben betrekking op wijzigingen bijhouden, inventaris en Desired State Configuration. Als u alleen specifieke on-premises servers wilt inschrijven, kunt u zich voor deze servers aanmelden. U wordt aangeraden al uw productieservers te onboarden.

Aanmelden via Azure Portal

  1. Ga naar het Automation-account waarvoor Wijzigingen bijhouden en inventaris is ingeschakeld.
  2. Selecteer Wijzigingen bijhouden.
  3. Selecteer Machines beheren in het deelvenster rechtsboven.
  4. Selecteer Inschakelen op geselecteerde machines. Selecteer Vervolgens Toevoegen naast de computernaam.
  5. Selecteer Inschakelen om de oplossing voor deze machines in te schakelen.

Screenshot of Change Tracking in the Azure portal

Aanmelden met opgeslagen zoekopdrachten

U kunt ook de bereikconfiguratie configureren om u aan te kiezen voor on-premises servers. Bereikconfiguratie maakt gebruik van opgeslagen zoekopdrachten.

Voer de volgende stappen uit om de opgeslagen zoekopdracht te maken of te wijzigen:

  1. Ga naar de Log Analytics-werkruimte die is gekoppeld aan het Automation-account dat u in de voorgaande stappen hebt geconfigureerd.

  2. Selecteer onder Algemeen opgeslagen zoekopdrachten.

  3. Voer in het vak Filter Wijzigingen bijhouden in om de lijst met opgeslagen zoekopdrachten te filteren. Selecteer MicrosoftDefaultComputerGroup in de resultaten.

  4. Voer de computernaam of de VMUUID in om de computers op te nemen die u wilt kiezen voor Wijzigingen bijhouden en inventaris.

Heartbeat
| where AzureEnvironment=~"Azure" or Computer in~ ("list of the on-premises server names", "server1")
| distinct Computer

Notitie

De servernaam moet exact overeenkomen met de waarde in de expressie en mag geen domeinnaamachtervoegsel bevatten.

  1. Selecteer Opslaan. Standaard is de bereikconfiguratie gekoppeld aan de opgeslagen zoekopdracht MicrosoftDefaultComputerGroup . Deze wordt automatisch bijgewerkt.

Azure-activiteitenlogboek

Azure-activiteitenlogboek maakt ook deel uit van Azure Monitor. Het biedt inzicht in gebeurtenissen op abonnementsniveau die plaatsvinden in Azure.

Ga als volgt te werk om deze oplossing te implementeren:

  1. Open alle services in De Azure-portal en selecteer vervolgens Management + Governance>Solutions.
  2. Selecteer Toevoegen in de weergave Oplossingen.
  3. Zoek naar Activiteitenlogboekanalyse en selecteer deze.
  4. Selecteer Maken.

U moet de naam van de werkruimte opgeven van de werkruimte die u hebt gemaakt in de vorige sectie waarin de oplossing is ingeschakeld.

Status van Azure Log Analytics-agent

De azure Log Analytics Agent Health-oplossing rapporteert over de status, prestaties en beschikbaarheid van uw Windows- en Linux-servers.

Ga als volgt te werk om deze oplossing te implementeren:

  1. Open alle services in De Azure-portal en selecteer vervolgens Management + Governance>Solutions.
  2. Selecteer Toevoegen in de weergave Oplossingen.
  3. Zoek de status van de Azure Log Analytics-agent en selecteer deze.
  4. Selecteer Maken.

U moet de naam van de werkruimte opgeven van de werkruimte die u hebt gemaakt in de vorige sectie waarin de oplossing is ingeschakeld.

Nadat het maken is voltooid, wordt in het resource-exemplaar van de werkruimte AgentHealthAssessment weergegeven wanneer u Oplossingen weergeven>selecteert.

Antimalware-evaluatie

De antimalware-evaluatieoplossing helpt u bij het identificeren van servers die zijn geïnfecteerd of met een verhoogd risico op infectie door malware.

Ga als volgt te werk om deze oplossing te implementeren:

  1. Open alle services in De Azure-portal en selecteer Beheer en governanceoplossingen>.
  2. Selecteer Toevoegen in de weergave Oplossingen.
  3. Zoek en selecteer vervolgens Antimalware-evaluatie.
  4. Selecteer Maken.

U moet de naam van de werkruimte opgeven van de werkruimte die u hebt gemaakt in de vorige sectie waarin de oplossing is ingeschakeld.

Nadat het maken is voltooid, wordt in het resource-exemplaar van de werkruimte AntiMalware weergegeven wanneer u Oplossingen weergeven> selecteert.

Azure Monitor voor virtuele machines

U kunt Azure Monitor voor VM's inschakelen via de weergavepagina voor het VM-exemplaar, zoals beschreven in Beheerservices inschakelen op één VM voor evaluatie. Schakel oplossingen niet rechtstreeks vanuit de pagina Oplossingen in, net zoals u doet voor de andere oplossingen die in dit artikel worden beschreven. Voor grootschalige implementaties is het mogelijk eenvoudiger om automatisering te gebruiken om de juiste oplossingen in de werkruimte in te schakelen.

Microsoft Defender for Cloud

Het is raadzaam om al uw servers ten minste te onboarden naar de gratis laag van Microsoft Defender voor Cloud. Deze optie biedt eenvoudige beveiligingsevaluaties en praktische beveiligingsaanaanvelingen voor uw omgeving. De Standard-laag biedt extra voordelen. Zie Microsoft Defender voor Cloud prijzen voor meer informatie.

Voer de volgende stappen uit om de gratis laag van Microsoft Defender voor Cloud in te schakelen:

  1. Ga naar de Defender voor Cloud portalpagina.
  2. Selecteer onder BELEID en NALEVING het beveiligingsbeleid.
  3. Zoek de Log Analytics-werkruimteresource die u in het deelvenster aan de rechterkant hebt gemaakt.
  4. Selecteer Instellingen bewerken voor die werkruimte.
  5. Selecteer Prijscategorie.
  6. Kies de optie Gratis .
  7. Selecteer Opslaan.

Volgende stappen

Meer informatie over het gebruik van automatisering voor het onboarden van servers en het maken van waarschuwingen.

Onboarding en waarschuwingsconfiguratie automatiseren